Настройка частного доступа в Конфигурации приложений Azure

В этой статье вы узнаете, как настроить частный доступ для хранилища Конфигурации приложений Azure, создав частную конечную точку с использованием Приватного канала Azure. Частные конечные точки позволяют получить доступ к хранилищу Конфигурации приложений с помощью частного IP-адреса из виртуальной сети.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Предполагается, что у вас уже есть хранилище конфигураций приложений. Если у вас его нет, создайте хранилище Конфигурации приложений.

Вход в Azure

Сначала вам потребуется войти в Azure, чтобы получить доступ к службе Конфигурация приложений.

Портал

Войдите на портал Azure по адресу https://portal.azure.com/ с помощью учетной записи Azure.

Azure CLI

Войдите в Azure, выполнив команду az login в интерфейсе командной строки Azure.

az login

Она укажет веб-браузеру, что нужно запустить и загрузить страницу входа в Azure. Если браузер не откроется, используйте поток кода устройства с помощью команды az login --use-device-code. Дополнительные параметры входа см. в разделе Вход с помощью Azure CLI.

Создание частной конечной точки

Портал

1. В хранилище конфигураций приложений в разделе Параметры выберите Сеть.

2. Перейдите на вкладку Частный доступ и выберите Создать, чтобы начать настройку новой частной конечной точки.

   

3. Заполните форму, указав следующую информацию.

   Параметр	Описание	Пример
   Отток подписок	Выберите подписку Azure. Частная конечная точка должна находиться в той же подписке, что и виртуальная сеть. Вы выберете виртуальную сеть далее в этом практическом руководстве.	MyAzureSubscription
   Группа ресурсов	Выберите группу ресурсов или создайте новую.	MyResourceGroup
   Имя.	Введите уникальное имя новой частной конечной точки для хранилища Конфигурация приложений. При использовании портал Azure имя подключения к частной конечной точке будет совпадать с именем частной конечной точки. Конфигурация приложений хранилища должны иметь уникальные имена подключений к частной конечной точке.	MyPrivateEndpoint
   Имя сетевого интерфейса	Это поле заполняется автоматически. При необходимости измените имя сетевого интерфейса.	MyPrivateEndpoint-nic
   Область/регион	выберите регион. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.	Центральная часть США

   

4. Выберите Далее: Ресурс >. Приватный канал предлагает варианты создания частных конечных точек для различных типов ресурсов Azure, таких как серверы SQL Server, учетные записи хранения Azure или хранилища Конфигурации приложений. Текущее хранилище Конфигурации приложений автоматически указывается в поле Ресурс, так как именно к этому ресурсу подключается частная конечная точка.

   1. Тип ресурса Microsoft.AppConfiguration/configurationStores и целевой подресурс configurationStores указывают, что вы создаете конечную точку для хранилища Конфигурации приложений.

   2. Имя хранилища конфигурации указано в поле Ресурс.

   

5. Выберите Далее: Виртуальная сеть >.

   1. Выберите существующую виртуальную сеть, где нужно развернуть частную конечную точку. Если у вас нет виртуальной сети, создайте ее.

   2. Выберите Подсеть в списке.

   3. Оставьте флажок Enable network policies for all private endpoints in this subnet (Включить политики сети для всех частных конечных точек в этой подсети) установленным.

   4. В разделе Конфигурация частного IP-адреса выберите параметр для динамического выделения IP-адресов. Дополнительные сведения см. в разделе Частные IP-адреса.

   5. При необходимости можно выбрать или создать группу безопасности приложений. Группы безопасности приложений позволяют группировать виртуальные машины и определять политики безопасности сети на основе этих групп.

   

6. Выберите Далее: DNS >, чтобы настроить запись DNS. Если вы не хотите изменять параметры по умолчанию, можно перейти к следующей вкладке.

   1. Выберите значение Да для параметра Интеграция с частной зоной DNS, если хотите интегрировать частную конечную точку с частной зоной DNS. Вы также можете использовать собственные DNS-серверы или создать записи DNS с использованием файлов узлов на своих виртуальных машинах.

   2. Для частной зоны DNS предварительно выбрана подписка и группа ресурсов. Вы можете изменить их при необходимости.

   

   Дополнительные сведения о конфигурации DNS см. в разделах Разрешение имен ресурсов в виртуальных сетях Azure и Конфигурация DNS для частных конечных точек.

7. Выберите Далее: Теги > и при необходимости создайте теги. Теги — это пары "имя-значение", которые можно назначать ресурсам и группам ресурсов для их категоризации, а также консолидированного отображения данных для выставления счетов.

   

8. Выберите Далее: Просмотр и создание >, чтобы просмотреть сведения о хранилище Конфигурации приложений, частной конечной точке, виртуальной сети и DNS. Вы также можете выбрать Скачать шаблон для автоматизации, чтобы повторно использовать данные JSON из этой формы позже.

   

9. Нажмите кнопку создания.

После завершения развертывания вы получите уведомление о создании конечной точки. Если оно утверждается автоматически, вы можете сразу же осуществить частный доступ к хранилищу конфигурации приложений, в противном случае вам придется дождаться утверждения.

Azure CLI

1. Чтобы настроить частную конечную точку, нужна виртуальная сеть. Если у вас ее нет, создайте виртуальную сеть с помощью команды az network vnet create. Замените замещающий текст <vnet-name>, <rg-name> и <subnet-name> именем новой виртуальной сети, именем группы ресурсов и именем подсети.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Заполнитель	Описание:	Пример
   <vnet-name>	Укажите имя для новой виртуальной сети. Виртуальная сеть позволяет ресурсам Azure обмениваться данными в частном порядке и взаимодействовать через Интернет.	MyVNet
   <rg-name>	Введите имя существующей группы ресурсов для своей виртуальной сети.	MyResourceGroup
   <subnet-name>	Введите имя для новой подсети. Подсеть — это сеть внутри сети. В ней назначается частный IP-адрес.	MySubnet
   <vnet-location>	Введите регион Azure. Виртуальная сеть и частная конечная точка должны находиться в одном регионе.	centralus

2. Выполните команду az appconfig show, чтобы получить свойства хранилища Конфигурации приложений, для которого требуется настроить частный доступ. Замените заполнитель name именем или хранилищем Конфигурации приложений.

   az appconfig show --name <name>
   

   Эта команда создает выходные данные со сведениями о хранилище Конфигурации приложений. Запишите значение id. Например: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Выполните команду az network private-endpoint create, чтобы создать частную конечную точку для хранилища Конфигурации приложений. Замените замещающий текст <resource-group>, <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name> и <location> своими собственными сведениями.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Заполнитель	Описание:	Пример
   <resource-group>	Введите имя существующей группы ресурсов для своей частной конечной точки.	MyResourceGroup
   <private-endpoint-name>	Введите имя для новой частной конечной точки.	MyPrivateEndpoint
   <vnet-name>	Введите имя существующей виртуальной сети.	Myvnet
   <private-connection-resource-id>	Введите идентификатор ресурса частного подключения хранилища Конфигурации приложений. Этот сохраненный идентификатор из выходных данных предыдущего шага.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Введите имя подключения. Конфигурация приложений хранилища должны иметь уникальные имена подключений к частной конечной точке.	MyConnection
   <location>	Введите регион Azure. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.	centralus

Управление подключением Приватного канала

Портал

Перейдите в раздел Сеть>Частный доступ в хранилище Конфигурации приложений, чтобы получить доступ к частным конечным точкам, связанным с хранилищем Конфигурации приложений.

1. Проверьте состояние подключения своего приватного канала. При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в вашем каталоге и у вас есть достаточные разрешения, запрос на подключение будет утвержден автоматически. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение. Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

2. Чтобы вручную утвердить, отклонить или удалить подключение, установите флажок рядом с конечной точкой, которую нужно изменить, и выберите элемент действия в верхнем меню.

   

3. Выберите имя частной конечной точки, чтобы открыть ресурс частной конечной точки и получить доступ к дополнительным сведениям или изменить частную конечную точку.

Azure CLI

Просмотр сведений о подключениях к частной конечной точке

Выполните команду az network private-endpoint-connection list, чтобы просмотреть все подключения к частной конечной точке, связанные с вашим хранилищем Конфигурации приложений, и проверить их состояние. Замените замещающий текст resource-group и <app-config-store-name> именем группы ресурсов и именем хранилища.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

При необходимости для получения сведений о конкретной частной конечной точке используйте команду az network private-endpoint-connection show. Замените замещающий текст resource-group и app-config-store-name именем группы ресурсов и именем хранилища.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Получение утверждения подключения

При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в вашем каталоге и у вас есть достаточные разрешения, запрос на подключение будет утвержден автоматически. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение.

Чтобы утвердить подключение к частной конечной точке, используйте команду az network private-endpoint-connection approve. Замените замещающий текст resource-group, private-endpoint и <app-config-store-name> именем группы ресурсов, именем частной конечной точки и именем хранилища.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

Удаление подключения к частной конечной точке

Чтобы удалить подключение к частной конечной точке, используйте команду az network private-endpoint-connection delete. Замените замещающий текст resource-group и private-endpoint именем группы ресурсов и именем частной конечной точки.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Дополнительные команды CLI см. в описании az network private-endpoint-connection.

Если у вас возникли проблемы с частной конечной точкой, ознакомьтесь с руководством Устранение проблем с подключением к частной конечной точке Azure.

Следующие шаги

Использование частных конечных точек для Конфигурация приложений Azure

Отключение общедоступного доступа в Конфигурация приложений Azure